OutpostFirewall软件使用（13）

实验目的
1、学习主机防火墙软件监控原理；

2、学习利用主机防火墙软件监控拦截可疑网络通信；

3、掌握防火墙过滤规则以及主机防护的配置；

4、学习利用软件实现对本机间谍软件的扫描。

预备知识
      防火墙（英文：Firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。普通用户的个人防火墙，通常是在一部电脑上具有数据包过滤功能的软件，如ZoneAlarm及Windows XP SP2后自带的防火墙程序；而专业的防火墙通常为网络设备。防火墙技术分为三大类，“包过滤”(PacketFiltering)、“应用代理”(ApplicationProxy)和“状态监视”(StatefulInspection)。

      我们介绍的Outpost Firewall软件属于个人软件防火墙类别，它可以根据自定义的源/目的IP、端口等信息来阻断本机的网络通信；也可以根据应用进程来阻断通信。不仅如此，它还具有间谍软件扫描、邮件扫描、广告过滤等功能，可谓是一款功能十分强悍的轻量级网络防火墙软件。

实验环境
Windows XP 专业版SP3 系统和Outpost Firewall Pro 2008版

实验内容和步骤
打开 Windows 实验台，运行 Windows XP 系统并配置好上网环境。

Outpost Firewall软件安装
(1)  实验操作者以管理员身份登录系统，双击执行预先下载好的名为“OutpostProInstall.exe”的文件。

    

     图1-1 Outpost Firewall安装界面

(2)  点击“Next”，选择默认的安装路径，然后再继续选择"Next"直到安装结束，安装完毕后如提示需要输入注册码激活界面（图1-2），请输入下图中的注册码进行激活。（在此也可以点击continue）

    
     图1-2 安装路径的选择

(3)  激活完毕后选择重启电脑，重启之后便会在任务栏的右下角看到Outpost Firewall的图标，双击即可看到整个软件的界面（图1-3），至此，Outpost Firewall已安装完毕。

     图1-3 Outpost Firewall主界面


Outpost Firewall中的通信过滤规则配置

(1)Outpost Firewall允许我们自由设定通信过滤规则，实现对可疑网络通信行为的拦截。

      在主界面的左侧选择Firewall中的Network Activity项进入网络活动监控界面，右侧会显示目前本机上的所有的网络通信行为，包括进程名称、目的IP和端口、协议类型、方向、进程相关规则和状态信息。如图2-1所示，左键单击选择其中任意一条目，右键点击会出现一个菜单，里面包括有阻塞、创建/编辑过滤规则、删除规则等选项。

     图2-1 网络活动监控界面

(2)点击“Edit Rule”（编辑规则）可以看到如下配置界面，可以自由设置过滤的方向、IP、端口等参数；还可以选择匹配成功后相应的动作（比如报告该网络活动）。

     图2-2 过滤规则的编辑

(3)如果想要直接对某个进程的网络通信进行阻断，左键单击选中想要阻断的进程，在右键菜单中选择“Swich to Blocked”。阻断成功后，监控表中该进程通信状态会变为“REFUSED”，如下图所示

     图2-3 网络通信阻断状态图

(4)如果想要对应用程序进行过滤操作，在主界面右上方点击“Settings”,然后选择“Network Rules”对应用程序进行通信过滤，如图2-4所示，我们可以把程序标记为阻塞、信任、自定义三种状态，阻塞状态直接把该程序的所有通信阻断；信任则是把该程序的所有通信全部放行；我们可以结合前面的规则编辑方法对该程序通信数据的过滤规则进行自定义，如图2-5所示

     图2-4 应用程序过滤规则设置界面

     图2-5 应用程序过滤规则的编辑

Outpost Firewall中网络攻击防御的配置

(1)Outpost Firewall提供了多种网络常见攻击的防御检测功能，包括IP地址欺骗、ICMP泛洪攻击等，接下来介绍如何配置这些防护策略。

      首先点击主界面右上角的“Settings”，然后选择Firewall下的Attack Detection进行网络攻击防御的配置。如图3-1所示，我们可以对网络攻击的防护等级进行选择，最低为Low，只会对特定的确认无误的攻击进行报告，不会对ICMP攻击进行检测；而最高级别Maximum会报告所有单个端口的扫描情况并对所有的攻击网络类别进行检测；Exclusions则是根据我们对端口和IP地址的描述进行白名单的添加。

     图3-1 网络攻击防护配置界面

 (2)点击Customize进入防护策略的自定义，可以根据自己的需要选择对不同的网络攻击进行检测，如图3-2所示。还可以自己手动设定端口权重和攻击速率判定阈值。

     图3-2 对不同网络攻击的防护进行选择

利用Outpost Firewall对本机的间谍软件进行扫描

(1)除了提供通信过滤以及网络攻击行为检测，Outpost Firewall还提供了基于特征码的间谍软件的检测功能。

      点击主界面右上角的“Settings”，进入Anti-Spyware下的“Schedule and Profiles”选项，在右侧可以选择扫描模式（快速或者全面扫描）以及指定扫描任务计划，如图4-1所示

     图4-1 间谍软件扫描设置主界面

(2)我们还可以进一步对检测进行设置，包括检测对象的文件类型、检测范围、检测后的动作等。在上图的界面中，点击Scan profiles中的edit进行设置，如图4-2所示。设置完毕后，点击Outpost Firewall主界面上方的Scan for Spyware就可以开始对本机进行间谍软件的扫描了。

     图4-2 扫描参数配置界面

 (3)除此之外，Outpost Firewall还提供了针对邮件附件检测，其功能配置如图4-3所示

     图4-3 邮件扫描配置界面